话题讨论:由Heartbleed想到的那些你忽视的系统安全(获奖名单已公布-2014-6-18)
获奖名单已公布,详情请看:http://bbs.chinaunix.net/thread-4142524-1-1.html题记:
这个在2011年底出现的漏洞,在2014年4月7日被修复。他就像互联网的的大地震,一时间消息满天飞,各大发行版争先恐后修复漏洞、发布补丁。受影响网站,发来一封封密码重置邮件。想必,又有一曲苦逼的运维彻夜难眠……
(还好我管理的机器上都是低版本的OpenSSL,不受影响……真是庆幸啊,原来不追新也是一种福。)
我们开启防火墙,封端口,换密匙,上各种监控,最后,再在前端放上一个“牛逼”的硬件防火墙。
我们每天看日志,分析流量,警惕各种预警。
我们关心备份,研究各种自动化运维,写各种“偷懒”的脚本。
我们做好了充分的准备,我们考虑到了前端用户,做了Web、App、微信;迎合了老板,上了高大上的云计算;安心了自己,各种监测平台、维护脚本候着。可我们始终站在“前端”,即便你“前端”做的再好,再仔细,再完美,你也受不了“背后”的用力一击……
本期讨论话题:
1. 那些你曾经忽视过的安全问题,给你带来的苦头?
2. 你是如何做安全防范的?
3. 除了update系统,对于不可预知的系统漏洞,我们如何做好系统漏洞被发现到漏洞被修复这段空档时间的安全防范?
4. 作为系统软件应用者,我们没有审计代码的时间,甚至没有这种能力,我们该如何应付代码级的安全问题?
5. 魔高一尺,道高一丈,不会攻击,何谈防范?你是如何测试自己系统的安全性的?
6. 你是否关注各种安全漏洞平台,比如:某云、某数字库带、某度漏洞报告中心?你可能不知道有多少小菜盯着他们等着脱你的“裤”……
7. 必不可少的安全工具?sqlmap、WebCruiser?
活动规则:
分享你的安全保障经验,除了密码换密匙、改端口、登陆限制,还有啥高大上的东东?
恳请大家倒出自己的真货啊!!!
活动须知:
针对以上任意问题跟帖回答,我们会在讨论结束后,择优挑选6名网友赠送图书《高度安全环境下的高级渗透测试》图书一本
图书简介:
高度安全环境下的高级渗透测试京东当当 亚马逊
http://images.china-pub.com/ebook3765001-3770000/3769625/zcover.jpg
作者: (英)Lee Allen
译者: 孙松柏 李聪 陈力波
出版社:人民邮电出版社
ISBN:9787115342560
上架时间:2014-3-19
出版日期:2014 年4月
活动时间:
2014年4月18日-2014年5月4日
PS:
About Heartbleed:http://heartbleed.com/
在线检测Heartbleed:http://filippo.io/Heartbleed/
测试脚本:
https://gist.github.com/takeshixx/10107280
https://gist.github.com/RixTox/10222402
测试案例:http://www.oschina.net/translate ... bleed-vulnerability
知乎讨论:http://www.zhihu.com/question/23328658/answer/24241031
幸亏俺们的 web server 用的是 IHS 而不是 Apache :mrgreen: 不追新~不追新~ 顶楼主:lol 安全始终是一个大问题啊 1. 那些你曾经忽视过的安全问题,给你带来的苦头?
目前还没有碰到过什么严重的安全问题
2. 你是如何做安全防范的?
安全防范:对于Linux操作系统来说,首先,根据稳定、安全等需要,选择适合于自己业务的OS版本,其次,其实权限最小化原则,开启iptables防火墙,关闭其它的闭口,只保留业务端口的远程访问的ssh端口,同时,把ssh的默认22端口改为其它的端口,如2222等。给数据库用户设置复杂口令,对web应用程序做代码审计,避免存在SQL注入,XSS,CSRF这样的漏洞,加强对web开发人员的安全培训。
3. 除了update系统,对于不可预知的系统漏洞,我们如何做好系统漏洞被发现到漏洞被修复这段空档时间的安全防范?
对于不可预知的系统漏洞,既然是不可预知,那几乎没有什么好的方法,那就试着开启SELinux,通过强制访问控制增加Linux操作系统安全
4. 作为系统软件应用者,我们没有审计代码的时间,甚至没有这种能力,我们该如何应付代码级的安全问题?
通过一些工具来分析
5. 魔高一尺,道高一丈,不会攻击,何谈防范?你是如何测试自己系统的安全性的?
通过SQLMAP, AppSCAN等工具,以及与第三方安全公司合作,由他们来对web应用进行安全评估和测试
6. 你是否关注各种安全漏洞平台,比如:某云、某数字库带、某度漏洞报告中心?你可能不知道有多少小菜盯着他们等着脱你的“裤”……
关注CNVD,关注乌云漏洞平台,关注FreeBuff
7. 必不可少的安全工具?sqlmap、WebCruiser?
nmap nessusAppSCAN等工具
1. 那些你曾经忽视过的安全问题,给你带来的苦头?
目前还没有碰到过什么严重的安全问题
2. 你是如何做安全防范的?
安全防范:对于Linux操作系统来说,首先,根据稳定、安全等需要,选择适合于自己业务的OS版本,其次,其实权限最小化原则,开启iptables防火墙,关闭其它的闭口,只保留业务端口的远程访问的ssh端口,同时,把ssh的默认22端口改为其它的端口,如2222等。给数据库用户设置复杂口令,对web应用程序做代码审计,避免存在SQL注入,XSS,CSRF这样的漏洞,加强对web开发人员的安全培训。
3. 除了update系统,对于不可预知的系统漏洞,我们如何做好系统漏洞被发现到漏洞被修复这段空档时间的安全防范?
对于不可预知的系统漏洞,既然是不可预知,那几乎没有什么好的方法,那就试着开启SELinux,通过强制访问控制增加Linux操作系统安全
4. 作为系统软件应用者,我们没有审计代码的时间,甚至没有这种能力,我们该如何应付代码级的安全问题?
通过一些工具来分析
5. 魔高一尺,道高一丈,不会攻击,何谈防范?你是如何测试自己系统的安全性的?
通过SQLMAP, AppSCAN等工具,以及与第三方安全公司合作,由他们来对web应用进行安全评估和测试
6. 你是否关注各种安全漏洞平台,比如:某云、某数字库带、某度漏洞报告中心?你可能不知道有多少小菜盯着他们等着脱你的“裤”……
关注CNVD,关注乌云漏洞平台,关注FreeBuff
7. 必不可少的安全工具?sqlmap、WebCruiser?
nmap nessusAppSCAN等工具
本帖最后由 shang2010 于 2014-04-22 13:27 编辑
1. 那些你曾经忽视过的安全问题,给你带来的苦头?
经历太少了,没因安全问题带来苦头,反倒因为“安全问题”带来不少麻烦,比如ssh不能root登陆,还要麻烦自己去修改配置
(经验太少,呵呵,不过我说的也是很多同仁共同遇到的问题,安全的同时也会带来麻烦)
2. 你是如何做安全防范的?
对于线上环境,一般都会规矩照着产品手册中的安全指导的要求来。比如,尽量少的package, service, port等等,还有加固等等;尽量选择有维护支持的产品
当然还有基本的工作,防火墙,杀软扫描,漏洞扫描,日志行为审计
总之,配置很老实。比如简单lamp单机环境,mysql就只接受本地unix/socket连接
3. 除了update系统,对于不可预知的系统漏洞,我们如何做好系统漏洞被发现到漏洞被修复这段空档时间的安全防范?
1,资源访问限制,比如网络隔离。我们没有实力做足够的防范,(我也不相信那些嘴上说得很轻松的同仁)
2,唯一可靠的就是抓紧数据备份和保存日志,保证客户利益优先
4. 作为系统软件应用者,我们没有审计代码的时间,甚至没有这种能力,我们该如何应付代码级的安全问题?
这类问题太复杂了。一般管理流程上,让代码给资深员工(权限)过目后,才肯commit到正式产品代码库。关于研发的那些事,应用者真是太被动了,
5. 魔高一尺,道高一丈,不会攻击,何谈防范?你是如何测试自己系统的安全性的?
不会做专业测试。只能相信红帽微软提供的是高科技产品,本身提供了一些防范,比如采用ubuntu/apparmor, rhel/selinux,这些能将系统安全性从c2提高到b级别。
这里有个介绍https://help.ubuntu.com/14.04/serverguide/apparmor.html,rhel的产品文档做得更好 ,就不列举。
自己pc或实验环境就充分不安全了,比如root密码就是root,比如win8的微软账户,我还专门搞pin快速登录1234,主要是为了方便
6. 你是否关注各种安全漏洞平台,比如:某云、某数字库带、某度漏洞报告中心?你可能不知道有多少小菜盯着他们等着脱你的“裤”……
优先关注产品官方提供的安全通告,打补丁,毕竟人家有实力,能提供可靠的支持。偶尔也会关心某云,某库,事不关己高高挂起
7. 必不可少的安全工具?sqlmap、WebCruiser?
http://www.tenable.com/products/nessus,
还有一些商业扫描器
求各位大大赏本书 回复 2# Shell_HAT
性能刚刚的吧???ibm的产品还是口碑不错的 互联网从诞生的那一天起,就充满了这种安全问题,作为系统管理员,要做的是,让系统和应用受到最少的安全威胁